La Commission européenne a adopté mardi matin le Privacy Shield, le cadre juridique qui remplace le Safe Harbor et présume que les données personnelles exportées vers les États-Unis bénéficient d'un niveau de protection équivalent à celui offert par le droit européen. Applaudi par Microsoft, l'accord est critiqué par les défenseurs de la vie privée.

Après plusieurs mois de négociations et malgré les doutes qui entourent toujours sa légalité, la Commission européenne a adopté mardi matin le Privacy Shield (.pdf), qui doit à nouveau permettre aux entreprises d’importer facilement vers les États-Unis des données personnelles collectées dans l’Union européenne. Le cadre remplace l’ancien Safe Harbor que la la Cour de justice de l’Union européenne (CJUE) avait invalidé le 6 octobre 2015, au motif que les USA n’apportaient pas les garanties suffisantes pour protéger les données des Européens.

Formellement, la Commission européenne a adopté une décision qui affirme que lorsqu’elles sont traitées dans le cadre négocié, les données des Européens envoyées vers les États-Unis sont présumées bénéficier d’un niveau de protection juridique équivalent à celui dont les justiciables auraient bénéficié au sein de l’Union. Le Safe Harbor permet ainsi aux entreprises de déclarer respecter le cadre défini, pour bénéficier automatiquement du droit de traiter des données d’Européens sur le sol américain.

Malheureusement, à la fois pour la vie privée et pour les affaires, cet accord n’aide personne

Pour annuler le Safe Harbor, la CJUE avait critiqué en particulier l’étendue des pouvoirs des services de renseignement américains, qui pouvaient avoir accès secrètement aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait. La Cour avait estimé qu’il s’agissait là d’une violation de la Charte des droits fondamentaux de l’UE, qui protège les données personnelles contre les intrusions disproportionnées.

privacy-shield

Pour tenter d’apporter une réponse avec le Privacy Shield, les États-Unis ont apporté des assurances essentiellement verbales, rapportées dans le texte adopté mardi matin. Sans exclure les collectes massives d’informations auprès des détenteurs de données, il promet qu’il cherchera à réduire leur étendue « autant que possible », et que leur utilisation sera limitée à six objectifs de sécurité nationale (espionnage, terrorisme, armes de destruction massive, menaces sur la cybersécurité, sur les armées, ou menaces criminelles transnationales). La liste sera révisée tous les ans.

L’accord prévoit aussi la création d’un «  Privacy Shield Ombudsperson » réputé indépendant, qui pourra faire le lien en derniers ressort entre d’éventuels plaignants européens et les services de renseignement américains qui auraient abusé de leurs pouvoirs. Avant lui, toute plainte contre des entreprises devra être traitée d’abord par la voie de l’arbitrage, avant l’éventuelle entremise des CNIL européennes.

Pour la Commission, ces quelques garanties apportées par les États-Unis sont suffisantes pour rassurer tout le monde et les exportations de données vont donc pouvoir reprendre comme avant. « Le nouveau cadre va restaurer la confiance des consommateurs quand leurs données seront transférées à travers l’Océan Atlantique », a ainsi affirmé Věra Jourová, la commissaire européen pour la Justice, les Consommateurs et l’égalité des genres.

Microsoft est content

L’industrie numérique, qui avait demandé à la Commission d’aboutir au plus vite à un compromis quitte à ne pas privilégier totalement la vie privée par rapport aux intérêts commerciaux, est évidente heureuse de la décision de l’exécutif européen, qui va permettre de fluidifier à nouveau les transferts de données d’un continent à l’autre.

Microsoft s’est ainsi réjoui dès hier de l’adoption du Privacy Shield, dont il compte profiter aussi vite que possible . « Microsoft considère que la vie privée est un droit fondamental et nous pensons que le Privacy Shield fait progresser ce droit », écrit la firme de Redmond. Elle estime que l’accord signe marque « une réalisation importante pour les droits à la vie privée des citoyens à travers l’Europe, et pour les entreprises à travers toutes les industries qui reposent sur les flux internationaux de données pour faire fonctionner leurs entreprises et servir leurs clients ».

Les activistes le sont moins

Mais cet enthousiasme est loin d’être partagé par tous les observateurs et les activistes qui estiment que l’accord arraché reste défavorable aux citoyens européens, et qu’il encourt le risque d’être une nouvelle fois annulé par la CJUE, d’ici quelques années.

« Malheureusement, à la fois pour la vie privée et pour les affaires, cet accord n’aide personne », se lamente ainsi Joe McNamee, le directeur exécutif de l’association European Digital Rights (EDRi). « Il nous faudra attendre jusqu’à ce que la Cour décide à nouveau que l’accord est illégal et alors, peut-être, l’UE et les USA pourront négocier un accord crédible qui respecte effectivement la loi, engendre la confiance et protège nos droits fondamentaux ».

C’est aussi l’avis de Maximilian Schrems, forcément très observé. C’est lui qui avait porté plainte en Irlande contre l’autorisation donnée à Facebook d’exporter des données en vertu du Safe Harbor, et qui l’avait fait annuler. Il estime dans Fortune que le Privacy Shield est « la même chose que le Safe Harbor avec quelques ajouts » et qu’il « va échouer comme son prédécesseur ».

Les CNIL européennes réunies dans le groupe G29, elles, devraient se prononcer le 25 juillet prochain.

Partager sur les réseaux sociaux

Articles liés